比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

你玩的Dapp真的安全嗎?Trustlook反編譯平臺給程序員風險提示_NEAR

Author:

Time:1900/1/1 0:00:00

只要談到區塊鏈、以太坊就必定離不開“智能合約”這個詞,由于具備了最基本的圖靈完備性,開發者可以基于以太坊完成各種應用的開發。據Odaily星球日報2月25日發布的ETH周報顯示,目前ETH鏈上Dapp開發累計至1602個,“類”、“交易所”仍然是目前ETHDapp生態中日活以及交易額最高的兩大應用。智能合約為以太坊社區注入了生機,促成了生態的繁榮,但也帶來了各種各種各樣的安全問題。基于智能合約的各類Dapp真的靠譜嗎?類游戲真的就如其說明書所言的公平嗎?Odaily星球日報最近接觸的安全公司Trustlook在2019年1月發布了基于二進制智能合約反編譯開放平臺SmartContractInsight。據Trustlook創始人AllanZhang介紹,他們認為,讓區塊鏈變得更安全的唯一路徑是從工具的角度重建區塊鏈社區——打造一個可用的工具,讓區塊鏈代碼可讀,漏洞可被發現,從而做到真正的開源和共建。很多Dapp的合約都沒有開源,或是處于半開源狀態,對用戶來說,代碼是否安全需要考量。機器語言是用二進制代碼表示的一種計算機能直接識別和執行的一種機器指令,在智能合約中,業界稱為二進制的EVM代碼。也就是說,在目前的狀況下,社區里的開發者如果對某一份智能合約產生了興趣,想要去了解它的功能甚至查找漏洞,只能夠接觸到二進制代碼,對于大部分程序員而言,這是較大的障礙。

NEAR基金會二季度透明度報告:財庫總額為9億美元:7月11日消息,NEAR基金會發布2023年二季度透明度報告,截至2023年第二季度末,NEAR基金會財庫總額為9億美元,其中包括3.49億美元的法定儲備、3.15億枚NEAR(按收盤價1.38美元計算約合4.35億美元)和9000萬美元的貸款和投資。

2023年第二季度NEAR基金會財庫減少了2億美元,主要原因是NEAR價格從1.99美元下跌至1.38美元。[2023/7/11 10:48:33]

未編譯的機器代碼長這樣“反編譯開放平臺”這個概念聽起來有點拗口,簡單來講就是將二進制的機器代碼或通過合約地址逆向成人類可讀的計算機高級語言,并根據結果作出風險提示。目前提出的漏洞包括:整數數值溢出漏洞、重入攻擊漏洞、外部調用返回值未校驗漏洞、tx.origin依賴漏洞以及時間戳依賴漏洞等,用灰底的“//ISSUE:”提醒。據介紹,整數數值漏洞說明幣有無限增發風險;重入攻擊最有名,著名的DAOattack就是這個漏洞造成的,它最造成攻擊者重復調用取款函數,一直將合約賬戶中的所有代幣取走;外部調用返回值是指,智能合約在地址上執行操作的底層方法,比如:address.call()、address.callcode()、address.delegatecall()和address.send。這些底層方法不會拋出異常(throw),只是會在遇到錯誤時返回false。在合約中調用外部合約時,應該對返回值進行判斷。如果沒有判斷,那么調用者可能會誤判交易是否成功,對于交易所造成財產損失;tx.origin依賴漏洞是指,不慎使用tx.origin進行鑒權認證有可能帶來釣魚攻擊。時間戳依賴漏洞指的是一些賭博類的Dapp使用時間戳來生成隨機數,會造成類應用結果可預測,這樣攻擊者可以直接贏得的獎勵。舉個例子,我們從以太坊上選擇一個211b合約地址,如:0x20B5c52d43a87ae8B375670d47D572681753211b,將這個合約地址用SmartContractInsight平臺“破解”,可以得到:

Solana網絡已恢復正常:10月1日消息,據Solana主網狀態頁面顯示,所有系統目前正常運行。[2022/10/1 18:36:55]

編譯后的高級語言及風險提示SmartContractInsight平臺在提醒時用提醒風險或異常,方便判別合約安全性。我們可以看到,剛剛的合約地址反編譯后得到的代碼有整數溢出風險,也就是說,如果這是一個發幣平臺,就意味著這個幣有無限增發的風險。目前SmartContractInsight平臺免費開放,但如果對二進制合約有更詳盡的了解需求,平臺也提供人工審核部分,收部分安全費用。目前該平臺支持以太坊或基于EVM代碼的合約檢測。作為工具,操作非常簡單,但如果能根據編譯結果沉淀出一些分析結果或許更好。智能合約的安全問題一直被行業關注。此前,安全公司CertiK發布智能合約自動檢測引擎CertiKAutoScanEngine,并對Etherscan平臺進行了技術集成與大規模的通證安全檢測;評級機構RatingToken面向C端上線其智能合約查詢檢測功能,同時為B端提供智能合約實時監測功能。Trustlook是位于硅谷的移動安全解決方案提供商,多年來服務于華為、亞馬遜、高通等一線軟硬件廠商,創始人AllanZhang曾是PaloAltoNetwork的創始安全工程師,團隊目前17人,均屬研發團隊。公司于2015年完成1700萬美元A輪融資,摯信資本領投,星元資本、線性資本等跟投。我是Odaily星球日報記者遂心,加好友煩請備注姓名、單位、職務和事由。

Meta將在9月關閉其加密貨幣項目Novi:金色財經消息,Meta Platforms的加密貨幣項目曾經令該公司創始人馬克·扎克伯格在國會飽受攻擊,現在,該項目的剩余部分也將正式關閉。Meta在測試項目Novi其網站上表示,將于9月1日停止服務。Novi使用Meta自己的加密貨幣數字錢包提供轉賬服務。該公司表示,Novi應用程序和WhatsApp上的Novi都將不再可用。從7月21日開始,用戶將無法再向他們的帳戶充值,建議“盡快”提取余額。在測試期結束后,用戶將無法訪問其交易歷史記錄或其他數據。將把Novi相關技術應用于元宇宙和其他產品。Meta發言人表示,該公司確實計劃在未來產品中使用Novi的技術,例如在其元宇宙項目中。(彭博社)[2022/7/2 1:45:26]

南京航空航天大學發行數字藏品:金色財經報道,據南京航空航天大學官方公眾號,南京航空航天大學建校70周年特別版通知書正式發布,該版通知書是以飛行器徽章盲盒形式推出,總計7個與南航息息相關的飛行器徽章,隨建校70周年特別版錄取通知書,南京航空航天大學同時發布一套7款紀念徽章數字藏品。數字藏品兼具收藏增值價值、以及南航建校70周年的紀念意義,一經領取,有唯一的身份識別,022級新生可從長征五號、武直-10、延安二號、“祝融號”火星車、C919大型客機、銳鷹、天巡一號,7款數字藏品之中,預約后隨機獲得其中的1款。[2022/6/23 1:26:53]

Tags:NOVNEARAPPETAnova幣介紹NEAR幣lbank交易所app下載后怎么打不開META WORLD

fil幣價格今日行情
多數人只知道去中心化,卻并不真正理解DApps_比特幣

編者按:本文來自鏈捕手,作者:冒志鴻,星球日報經授權發布。01「中心化」與「去中心化」的此消彼長計算機軟件應用的過程是一個「中心化-去中心化-再中心化-再去中心化」的演變過程.

1900/1/1 0:00:00
楊林科:牛熊的歷史在重演 | 「牛熊啟示錄」_BTCC

繼2018年10月推出高端視頻訪談節目《直面大佬》采訪知名比特幣投資人李笑來之后,博鏈財經又攜手36氪獨家戰略合作媒體《Odaily|星球日報》推出深度在線互動訪談欄目——《牛熊啟示錄》.

1900/1/1 0:00:00
dApps 的復蘇,就靠去中心化交易所了_DAPP

本文來自Coindesk,原文作者:DavidLu 譯者丨Moni 原地址:https:\u002F\u002Fwww.coindesk.com\u002Fdecentralized-excha.

1900/1/1 0:00:00
交通運輸、房地產——區塊鏈在住行方面的獨特應用_APP

編者按:本文來自鏈塔智庫,作者鏈塔分析師團隊,Odaily星球日報經授權轉載。實體經濟,指一個國家生產的商品價值總量,包括物質的、精神的產品和服務的生產、流通等經濟活動.

1900/1/1 0:00:00
HSM技術如何使區塊鏈錢包和交易更安全?_ETHS

作為區塊鏈安全從業者,我們一直非常關注如何保證冷熱錢包的私鑰的絕對安全。硬件安全模塊是管理數字密鑰的傳統安全解決方案,并且已廣泛用于PKI環境和金融領域.

1900/1/1 0:00:00
星球日報 | Bithumb控股公司計劃在美國借殼上市;DApp攻擊者通過火幣套現,交易所成黑客洗錢渠道_區塊鏈

頭條 Bithumb控股公司計劃在美國借殼上市韓國加密貨幣交易所Bithumb的控股公司BXA正尋求通過收購美國上市公司以借殼上市.

1900/1/1 0:00:00
ads